SO WIRD'S GEMACHT: Problembehandlung bei standortinternen Replikationsfehlern

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 249256 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
249256 HOW TO: Troubleshoot Intra-Site Replication Failures
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Schritt für Schritt die verschiedenen Symptome und Lösungsmethoden, die Sie zum Beheben von Problemen im Zusammenhang mit standortinternen Replikationsfehlern verwenden können.

Wichtig: Auch wenn die Verzeichnisdienstereplikation und der Dateireplikationsdienst dieselben Mechanismen der Verbindungseinrichtung und dieselben Replikationszeitpläne verwenden, handelt es sich um zwei völlig unterschiedliche Komponenten. Dieser Artikel beschreibt gängige Programme und Verfahren zur Problembehandlung bei Replikations-Verbindungsobjekten, um standortinterne Replikationsprobleme zu diagnostizieren.

Häufige Symptome von Replikationsfehlern

Zu den häufigen Symptomen, die auf standortinterne Replikationsfehler hinweisen, gehören:
  • Benutzer und Computer empfangen keine aktualisierten Richtlinien.
  • Der korrekte Inhalt der SYSVOL-Freigabe wird nicht auf alle Domänencontroller (DC) repliziert.

    Hinweis: Dies kann auch infolge eines FRS-Fehlers auftreten.
Verwenden Sie die folgenden Programme, um diese Probleme zu behandeln:
  • Diagnoseprogramme für Domänencontroller (Dcdiag.exe) und Netzwerke (Netdiag.exe). Diese Programme sind in den Windows 2000-Supporttools auf der Windows 2000-CD enthalten. Weitere Informationen zum Beziehen der Diagnoseprogramme "Dcdiag.exe" und "Netdiag.exe" finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    265706 DCDiag and NetDiag in Windows 2000 Facilitate Domain Join and DC Creation
  • Replikations-Diagnoseprogramm (Repadmin.exe). Verwenden Sie dieses Programm, um Standortverknüpfungen zu überprüfen und eingehende und ausgehende Verbindungen anzuzeigen. Sie können das Programm auch zum Anzeigen der Replikationswarteschlange verwenden. Dieses Programm ist in den Windows 2000-Supporttools auf der Windows 2000-CD enthalten. Weitere Informationen zum Beziehen des Programms "Repadmin.exe" finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    229896 Verwendung von "Repadmin.exe" bei Active Directory-Replikation
  • Dateireplikationsdienst-Programm (Ntfrsutil.exe).
  • Active Directory-Replikationsmonitor (Replmon.exe). Dieses Programm ist in den Windows 2000-Supporttools auf der Windows 2000-CD enthalten.
Die folgende Liste beschreibt die grundlegenden Schritte zur Behandlung von Problemen dieser Art:
  • Vergewissern Sie sich, dass der Domain Name Service (DNS) korrekt konfiguriert ist. Eine korrekte DNS-Konfiguration wird zum Korrigieren der Verzeichnisreplikation benötigt.
  • Stellen Sie sicher, dass Sie den Domänencontroller mit dem Programm "Ping.exe" über seinen Hostnamen und seine IP-Adresse von seinem Hub-Partner aus erreichen ("anpingen") können.
  • Stellen Sie sicher, dass Computer in dem Zweig Namen im Hub auflösen können. Fragen Sie zum Beispiel server1.domain1.site1.forest.com mit "Ping.exe" ab.
  • Stellen Sie sicher, dass Sie Server über ihre in den Ereignisprotokollen aufgelistete GUID (Globally Unique Identifier) anpingen können. Wenn Sie einen Server über seinen Hostnamen erfolgreich anpingen können, aber nicht über seine GUID, besteht ein Problem mit der DNS-Konfiguration.
  • Führen Sie das Programm "Dcdiag.exe" aus. Dieses Programm führt eine Reihe von Tests durch, die entweder das Ergebnis "Passed" (Bestanden) oder "Failed" (Fehlgeschlagen) haben. Stellen Sie sicher, dass alle Tests bestanden werden.
  • Zeigen Sie auf dem Zweig, bei dem Probleme auftreten, das Verzeichnisdienstprotokoll der Ereignisanzeige an. Untersuchen und beheben Sie alle Fehler.
  • Überprüfen Sie, ob die Standortverknüpfungen korrekt sind, indem Sie das Programm "Repadmin.exe" mit der Option /showreps ausführen.
  • Überprüfen Sie eingehende Verbindungen, indem Sie das Programm "Repadmin.exe" mit der Option /showconn ausführen.
  • Zeigen Sie alle Protokolldateien im Ordner Winnt\Debug an.

Spezielle Symptome und Problembehandlungsschritte

Hinweis: In den folgenden Abschnitten wird der Domänencontroller, der das Problem meldet, als "Zielserver" bezeichnet. Der Domänencontroller, von dem der Zielserver versucht, Inhalte zu replizieren, wird als "Quellserver" bezeichnet.

Fehler "Zugriff verweigert"

Wenn Sie das Programm "Repadmin.exe" mit der Option /showreps verwenden, werden eine oder mehrere Fehlermeldungen "Zugriff verweigert" in den zurückgegebenen Replikationsstatus-Informationen aufgelistet. Dies weist darauf hin, dass der letzte Versuch des Domänencontrollers, den anderen Domänencontroller zu kontaktieren, nicht erfolgreich war. Da ein Domänencontroller ein Mitglied der Gruppe "Domänencontroller der Organisation" ist, ist er autorisiert, jede beliebige Funktion auf einem anderen Domänencontroller aufzurufen. Wenn Aufrufe zwischen Domänencontrollern zu "Zugriff verweigert"-Fehlern führen, hängt dies nicht damit zusammen, dass die korrekten Anmeldeinformationen fehlen, sondern dass einer der Domänencontroller nicht korrekt konfiguriert ist.
  • Wenn der Fehler "ERROR_ACCESS_DENIED" lautet, suchen Sie nach einem Kerberos-Problem.
  • Wenn der Fehler "ERROR_DRA_ACCESS_DENIED" lautet, überprüfen Sie, ob die Computerkonten bei beiden beteiligten Computern auf beiden Verzeichnissen korrekt sind. Stellen Sie sicher, dass das Feld userAccountControl für einen Domänencontroller korrekt ist.

"Repadmin.exe" oder "Replmon.exe" melden "Zugriff verweigert" für eine bestimmte Verzeichnispartition

Dies weist typischerweise auf ein Kerberos-Authentifizierungsproblem hin, obwohl es verschiedene Ausnahmen gibt. Zum Beheben des Replikationsfehlers in diesem Fall müssen Sie den Authentifizierungsfehler beheben, bevor Sie versuchen, das Replikationsproblem zu korrigieren. Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Stellen Sie sicher, dass das Benutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" in der Sicherheitsrichtlinie des Quellservers das Computerkonto des Zielservers einschließt. Sie können dies über die Gruppe "Jeder", die Gruppe "Domänencontroller der Organisation" oder durch individuelle Einstellung einrichten.
  2. Stellen Sie sicher, dass der Schlüsselverteilungscenter-Dienst gestartet wurde. Sie können auf allen Domänencontrollern die korrekte Dienstausführung testen, indem Sie "Dcdiag.exe" mit der Option dcdiag /test:services ausführen.

    Hinweis: In diesem Befehl steht ein Doppelpunkt zwischen "test" und "services".
  3. Stellen Sie sicher, dass der Zielserver über Verbindungsobjekte von anderen Quellservern verfügt. Wenn keine Verbindungsobjekte vorhanden sind, müssen Sie möglicherweise manuelle Verbindungen erstellen, wenn sie von der Konsistenzprüfung nicht automatisch erstellt werden oder die Konsistenzprüfung deaktiviert wurde.
  4. Stellen Sie sicher, dass die KCC-Topologie verbunden ist. Wenn die Konsistenzprüfung keine vollständige Topologie gebildet hat, können keine Änderungen repliziert werden. Verwenden Sie zum Testen dieser Bedingung den Befehl dcdiag/test:topology, wobei Sie die zu überprüfende Domänentopologie angeben.
  5. Stellen Sie sicher, dass im MMC-Snap-In "Active Directory-Benutzer und -Computer" das Kontrollkästchen Computer für Delegierungszecke vertrauen auf der Registerkarte Allgemein des Dialogfelds Eigenschaften von Domänencontroller aktiviert ist.
  6. Wenn das Problem zwischen Domänencontrollern von unterschiedlichen Domänen besteht, überprüfen Sie die Vertrauensstellung. Verwenden Sie hierzu das Snap-In "Active Directory-Domänen und -Vertrauensstellungen" oder den Befehl netdom trust Name der vertrauenden Domäne /domain:Name der vertrauenswürdigen Domäne /verify /kerberos.
  7. Stellen Sie sicher, dass jeder Computer für den Konfigurationsnamenskontext synchronisiert ist. Die Konsistenzprüfung muss wissen, welches die Server und Standorte sind. Sie können den Befehl repadmin/syncall verwenden, um die Synchronisierung eines Servers mit der gesamten Organisation zu erzwingen. Geben Sie an, dass der zu synchronisierende Namenskontext der Konfigurationsnamenskontext ist. Stellen Sie sicher, dass Ihre Standortverknüpfungstopologie korrekt ist. Erzwingen Sie die Ausführung der Konsistenzprüfung auf jedem Server, um die Topologie neu zu erstellen, oder warten Sie 15 Minuten.
  8. Stellen Sie sicher, dass die Haupt-Bridgeheadserver betriebsbereit sind. Sie müssen feststellen, ob Änderungen die gesamte Organisation durchlaufen können. Führen Sie den Befehl dcdiag/test:intersite einmal für jeden Standort aus. Dieser Befehl gibt die Namen der Bridgeheadserver zurück und ob sie Fehler melden.
  9. Überprüfen Sie das Attribut der Eigenschaft userAccountControl. Stellen Sie sicher, dass die Attribute UF_SERVER_TRUST_ACCOUNT 0x2000 und UF_TRUSTED_FOR_DELEGATION 0x80000 definiert sind. Wenn Sie beispielsweise den dezimalen Attributwert 532480 in das hexadezimale Format konvertieren, wird er zu x82000, wobei 0x8000 zu UF_TRUSTED_FOR_DELEGATION und 0x2000 zu UF_SERVER_TRUST_ACCOUNT gehört.
  10. Verwenden Sie das Programm "Replmon.exe", um zu bestimmen, ob die Zeit-/Datumstempel der Attribute pwdLastSet und unicodePwd auf allen Computern konsistent sind.
  11. Stellen Sie sicher, dass auf jedem Domänencontroller SPNs (Service Principal Names) registriert sind. Testen Sie dies mit dem Befehl dcdiag/test:outboundsecurechannels. Sie können den für die Replikation verwendeten SPN über die vorangegangene GUID E3514235-4B06-11D1-AB04-00C04FC2DCD2/b2f6f255-4446-45e8-81a3-0649d5d71a66/Domäne.com identifizieren.
  12. Erzwingen Sie die Replikation aller Computerkonten in der gesamten Organisation. Dies bedeutet, dass alle Domänencontroller mit allen anderen Kopien ihrer Domäne synchronisiert werden müssen. Verwenden Sie bei jedem Computer, der einen Replikationsfehler wie "Zugriff verweigert" meldet, den Befehl repadmin/syncall, um die Aktualisierung dieses Computers zu erzwingen. Beachten Sie, dass Sie die Domäne angeben müssen, die synchronisiert werden soll.
  13. Wenn Sie den vorangegangenen Befehl "Repadmin.exe" ausführen, wird möglicherweise die folgende Fehlermeldung angezeigt:
    Aufgrund eines Fehlers im Zusammenhang mit der angeforderten Dienstqualität konnte der Sicherheitskontext nicht festgelegt werden.
    Wenn diese Fehlermeldung erscheint, öffnen Sie die interne Verarbeitung, und suchen Sie nach DSIDs. Wenden Sie sich an Microsoft Product Support Services (PSS), um Informationen zum Beziehen des Programms "Dsid.exe" zu erhalten. Informationen zur Kontaktaufnahme mit Microsoft PSS finden Sie auf folgender Website von Microsoft:
    http://support.microsoft.com
  14. Stellen Sie sicher, dass die Gruppe "Domänencontroller der Organisation" über die erforderlichen Berechtigungen für die Zugriffssteuerungslisten (ACLs) der Verzeichnispartitionen verfügt.
    1. Starten Sie das Snap-In "Active Directory-Benutzer und -Computer".
    2. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen, wenn die Option nicht bereits ausgewählt ist.
    3. Klicken Sie mit der rechten Maustaste auf das Stammdomänenobjekt, und klicken Sie auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Sicherheit, klicken Sie in der Namensliste auf DOMÄNENCONTROLLER DER ORGANISATION, und stellen Sie sicher, dass unter Zulassen die folgenden Berechtigungen ausgewählt sind:
      Replikationstopologie verwalten
      Verzeichnisänderungen werden repliziert
      Replikationssynchronisierung
  15. Verwenden Sie das Snap-In "Active Directory-Standorte und -Dienste", um zu überprüfen, ob das Objekt "Server" und sein zugehöriges untergeordnetes Objekt "NTDS-Einstellungen" im korrekten Standort vorhanden sind.
  16. Überprüfen Sie, ob der Zielserver alte oder ungültige Tickets für den Quellserver hat. Führen Sie diese Tests mit den Windows 2000 Resource Kit-Programmen "Kerbtray", "Krbtest" und "Klist" durch. Verwenden Sie den Befehl NETDOM RESETPWD, um das Kontokennwort zurückzusetzen, und schreiben Sie diese Änderung in einen sofortigen Replikationspartner. Dadurch wird das Kennwort geändert, und das alte und das neue Kennwort werden auf denselben Wert gesetzt. Anschließend wird die Änderung in den Replikationspartner geschrieben. Sie müssen hierfür den folgenden Befehl verwenden oder den Computer neu starten:
    krbtest /system /callpackage:purge

    -oder-

    klist purgeall

Fehler "Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden"

Gehen Sie folgendermaßen vor, um diesen Fehler zu beheben:
  1. Verwenden Sie den Befehl Nltest /dsgetdc: /pdc /force /avoidself, um zu bestimmen, ob der korrekte primäre Domänencontroller (PDC) zurückgegeben wird.
  2. Wenn die Befehle REPLMON oder REPADMIN ein Verbindungsobjekt, aber keine Replikationsverknüpfung melden, könnte ein Problem mit der Konsistenzprüfung vorliegen.
  3. Führen Sie die folgenden Befehle auf dem PDC aus, und senden Sie die Ausgabe zur weiteren Problembehandlung an Microsoft PSS:
    nltest /DBFLAG:0x2000FFFF

    -und-

    nltest /DSGETDC: /GC
  4. Führen Sie den Befehl nltest /dsgetdc: /gc /force aus, um festzustellen, ob Sie einen globalen Katalogserver (GC) kontaktieren können.
  5. Überprüfen Sie den Parameter "Letzte Kennwortänderung" auf dem PDC und den Servern, bei denen das Problem auftritt.

Vorgang in Warteschlange oder keine Replikationsverknüpfungen angezeigt

Es werden keine Replikationsverknüpfungen gemeldet, wenn Sie die Programme "Repadmin.exe" oder "Replmon.exe" ausführen. Starten Sie die Konsistenzprüfung, und suchen Sie im Verzeichnisdienstprotokoll nach KCC-Ereignissen, um dieses Problem zu beheben. Dies weist typischerweise auf einen Fehler bei der Kommunikation mit einem Domänencontroller hin.

Replikationszugriff verweigert oder Namenskontext wird gerade gelöscht

Wenn Sie versuchen, die Replikation zu starten, wird eine der folgenden sinngemäßen Meldungen angezeigt:
Der Replikationszugriff wird verweigert. (Replication access is denied.)
-oder-
Der Namenskontext wird gerade gelöscht. (The naming context is in the process of being deleted.)
Dies kann auftreten, wenn der Benutzer, der über das Snap-In "Active Directory-Standorte und -Dienste" die Replikation auf einem Domänencontroller startet, nicht über die entsprechende Berechtigung zum Auslösen der Replikation verfügt. Überprüfen Sie die Anmeldeinformationen des Benutzers, der diesen Vorgang ausführt.

Doppelte Verbindungsobjekte zwischen Standorten

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben: Warnung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
  1. Stellen Sie fest, ob explizite Bridgeheadserver in der Vergangenheit zwischen Standorten verwendet und nicht entfernt wurden oder aktuell verwendet werden und falsch konfiguriert sind. Sie können dies überprüfen, indem Sie das Programm LDP verwenden, um die Verbindung zum Ersteller der standortübergreifenden Topologie (ISTG) in dem Standort herzustellen, der doppelte Verbindungen aufweist. Durchsuchen Sie den Konfigurationsnamenskontext bis zum Container "Intersite Transports" (Standortübergreifende Transporte) und dann bis zu cn=ip, und zeigen Sie dieses Objekt an. Wenn es das Attribut "bridgeheadServerListBL" enthält, sind explizite Bridgeheadserver vorhanden. Weitere Informationen zum Ermitteln des ISTG eines Standorts finden Sie in folgendem Artikel der Microsoft Knowledge Base:
    224599 Determining the Inter-Site Topology Generator (ISTG) of a Site in the Active Directory
  2. Stellen Sie fest, ob die doppelten Verbindungen in allen Standorten oder in einer bestimmten Teilmenge erscheinen. Suchen Sie nach einem Muster, zum Beispiel nach doppelten Verbindungen zwischen bestimmten Gruppen von Servern. Zeigen Sie in einem Standort mit doppelten Verbindungen das Attribut fromServer für die doppelte Verbindung an. Betrachten Sie für dieses Attribut "fromServer" den Standort, auf dem sich das Attribut befindet. Versuchen Sie, die Aktivitäten auf diesem Standort zu isolieren. Wieviele Server befinden sich in diesem Standort? Gibt es Server, die über das Programm "Ping" vom ISTG aus erreichbar sind?
  3. Stellen Sie sicher, dass das Replikationsintervall entsprechend festgelegt ist und der ISTG seine Replikation abschließen kann.
  4. Gehen Sie folgendermaßen vor, um Probleme mit doppelten Verbindungen zu isolieren:
    1. Wählen Sie einen Domänencontroller (DC) aus, der doppelte eingehende Verbindungen zwischen Standorten erstellt, zum Beispiel denselben Quell- und Zieldomänencontroller und nicht nur denselben Quell- und Zielstandort. Der ausgewählte DC muss der ISTG für seinen Standort sein. Sie können den ISTG für einen Standort ermitteln, indem Sie die Eigenschaften der NTDS-Standorteinstellungen für diesen Standort im Snap-In "Active Directory-Standorte und -Dienste" anzeigen.
    2. Vergrößern Sie das Verzeichnisdienst-Ereignisprotokoll erheblich, zum Beispiel auf 64 MB.
    3. Verwenden Sie den Registrierungseditor, um im folgenden Registrierungsschlüssel den Wert 1 Knowledge Consistency Checker auf den Datenwert 5 und den Wert 9 Internal Processing auf den Datenwert 1 zu setzen:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    4. Führen Sie den Befehl ldifde -f before.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com" aus.
    5. Lassen Sie T0=current time.
    6. Führen Sie den Befehl repadmin /kcc aus und warten Sie, bis er abgeschlossen ist.
    7. Starten Sie die Ereignisanzeige, und stellen Sie sicher, dass das Verzeichnisdienst-Ereignisprotokoll Informationsereignisse bis zurück zur Zeit T0 protokolliert hat (einschließlich das KCC-Ereignis 1009, "Die Konsistenzprüfung hat angefangen, die Replikationstopologie dieses Servers zu aktualisieren"). Wenn nicht, verdoppeln Sie die Größe des Ereignisprotokolls, und gehen Sie zurück zu Schritt e: Lassen Sie T0=current time.
    8. Speichern Sie das Verzeichnisdienst-Ereignisprotokoll.
    9. Führen Sie den Befehl ldifde -f after.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com" aus.
    10. Überprüfen Sie zur weiteren Analyse die LDF-Dateien "Before.ldf" und "After.ldf" sowie das Verzeichnisdienst-Ereignisprotokoll.

Gruppenrichtlinie wird nicht konsistent auf alle Domänencontroller angewendet

Sie können das folgende Beispielskript verwenden, um sicherzustellen, dass die Gruppenrichtlinie korrekt auf alle Domänencontroller in Ihrer Domäne repliziert wurde. Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionalität sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Spezialisten von Microsoft Product Support Services können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind. Wenn Sie über begrenzte Programmiererfahrungen verfügen, wenden Sie sich an einen von Microsoft zertifizierten Partner. Weitere Informationen über von Microsoft zertifizierte Partner finden Sie auf der folgenden Seite im World Wide Web:
http://www.microsoft.com/partner/referral
Weitere Informationen zur Kontaktaufnahme mit Microsoft und den verfügbaren Supportoptionen finden Sie auf folgender Website von Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS
Verwenden Sie den Befehl chkpolicy Name Ihrer Domäne, um dieses Skript auszuführen:
@echo off

REM \logs\chkpolicy domain_name

set filename=sysvol\%dom_name%\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine\Microsoft\Windows NT\SecEdit\GPTTMPL.INF

nltest /dclist:%dom_name% > dclist.tmp

del dclist1.tmp

FOR /F "eol=; tokens=1 delims=, " %%i in (dclist.tmp) do (

     @echo %%i >> dclist1.tmp

)

FOR /F "eol=. tokens=1 delims=. " %%i in (dclist1.tmp) do (

      @echo %%i

     dir  "\\%%i\%filename%"

)

Verzeichnisdienst kann den Vorgang wegen hoher Auslastung nicht ausführen

Es wird möglicherweise der Fehler 8438, ERROR_DS_DRA_BUSY, angezeigt: "Der Verzeichnisdienst ist zu stark ausgelastet, um diesen Replikationsvorgang zu diesem Zeitpunkt auszuführen". Dieser Fehler wird vom Verzeichnisdienst zurückgegeben, wenn er beim Entfernen des Namenskontextes Fortschritte gemacht hat (wenn 500 Objekte entfernt wurden), aber zuviele Objekte vorhanden sind, um sie in einem Durchlauf zu entfernen, ohne die Replikationswarteschlange zu blockieren. Wenn die Bereinigung des globalen Katalogs eine erfolgreiche Replikation verhindert, können Sie eine Stapelverarbeitungsdatei zum Beschleunigen des Prozesses erstellen. Anschließend können Sie den Computer wieder zum globalen Katalogserver heraufstufen. Das folgende Beispielskript stellt diese Funktionalität bereit: Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionalität sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Spezialisten von Microsoft Product Support Services können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind. Wenn Sie über begrenzte Programmiererfahrungen verfügen, wenden Sie sich an einen von Microsoft zertifizierten Partner. Weitere Informationen über von Microsoft zertifizierte Partner finden Sie auf der folgenden Seite im World Wide Web:
http://www.microsoft.com/partner/referral
Weitere Informationen zur Kontaktaufnahme mit Microsoft und den verfügbaren Supportoptionen finden Sie auf folgender Website von Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS
setlocal

set destgc=__setgcnamehere__.site1.forest1.com

:domain1

repadmin /delete DC=domain1,DC=site1,DC=forest1,DC=com %destgc% /nosource

if %errorlevel% == 8438 goto :domain2

:domain2

repadmin /delete DC=domain2,DC=Site1,DC=forest1,DC=com %destgc% /nosource

if %errorlevel% == 8438 goto :domain3

REM ...

endlocal

Erweiterte Problembehandlungsverfahren

Konsistenzprüfung (KCC) und ISTG

Sie können ein Ereignisprotokoll für die Konsistenzprüfung erstellen, das zusätzliche Diagnosedaten enthält. Führen Sie hierzu die folgenden Schritte auf dem ISTG des Standorts durch, auf dem doppelte Verbindungen erscheinen:
  1. Speichern Sie den Inhalt des Ereignisprotokolls, und löschen Sie anschließend das Ereignisprotokoll.
  2. Setzen Sie den DWORD-Registrierungswert 1 Knowledge Consistency Checker im folgenden Registrierungs-Teilschlüssel auf 5:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
  3. Führen Sie die Konsistenzprüfung durch, indem Sie den Befehl repadmin /kcc ausführen.
  4. Setzen Sie den DWORD-Registrierungswert 1 Knowledge Consistency Checker in der Registrierung zurück auf 0 (Null).
  5. Speichern Sie das neue Ereignisprotokoll.
Gehen Sie folgendermaßen vor, um eine neue Basismessung zu erhalten:
  1. Stellen Sie sicher, dass der Computer über eine Standortverknüpfung zum Hub verfügt. Wenn nicht, erstellen Sie eine.
  2. Löschen Sie alle Verbindungsobjekte, die in den Computer eingehen.
  3. Führen Sie die Konsistenzprüfung durch, indem Sie den Befehl repadmin /kcc ausführen.
  4. Vergewissern Sie sich, dass die erwarteten Verbindungen erstellt wurden, indem Sie den Befehl repadmin /showconn ausführen.
  5. Suchen Sie im Verzeichnisdienst-Ereignisprotokoll nach Fehlern. Neben Fehlern (zum Beispiel Ereignis-ID 1265), die darauf hinweisen, dass für Namenskontext X kein Replikat hinzugefügt werden konnte, kann auch ein Fehler Y enthalten sein. Stellen Sie fest, ob der Fehler mit einem DNS-Problem zusammenhängt oder ein Verbindungsfehler ist, und versuchen Sie anschließend, das damit verbundene Problem zu beheben. Wenn der Fehler darauf hinweist, dass ein Zielkontoname nicht korrekt ist, oder wenn es sich um einen SPN-Fehler handelt, könnte die Behebung sich schwieriger gestalten.
  6. Wenn das Ereignisprotokoll meldet, dass das Replikat erfolgreich hinzugefügt wurde, überprüfen Sie dies durch Ausführen des Befehls repadmin /showreps.
Nachdem Sie die Replikationsintervalle für Standortverknüpfungen angepasst haben, warten Sie, bis die Konfigurationsänderung auf andere Hub-Server repliziert wurde. Starten Sie anschließend jeden Hub-Server neu, um die Replikationswarteschlange zu löschen. Sie können den Befehl repadmin/sync oder das Snap-In "Active Directory-Standorte und -Dienste" verwenden, um die Replikation des Konfigurationsnamenskontextes zu erzwingen, sodass die aktualisierten Standortverknüpfungen auf jedem der Hub-Server sichtbar sind, bevor Sie sie neu starten. Verwenden Sie das Programm "Dcdiag.exe", um den Replikationsstatus jedes Standorts zu bestimmen. Sie können dies remote über ein Skript ausführen, und die Ausgabe anschließend auf das Wort "fail" hin analysieren. Sie können das folgende Beispielskript verwenden: Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionalität sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Spezialisten von Microsoft Product Support Services können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind. Wenn Sie über begrenzte Programmiererfahrungen verfügen, wenden Sie sich an einen von Microsoft zertifizierten Partner. Weitere Informationen über von Microsoft zertifizierte Partner finden Sie auf der folgenden Seite im World Wide Web:
http://www.microsoft.com/partner/referral
Weitere Informationen zur Kontaktaufnahme mit Microsoft und den verfügbaren Supportoptionen finden Sie auf folgender Website von Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS
REM check replications in site site1

dcdiag /s:dc1 /test:replications /a /n:domain1

dcdiag /s:dc1 /test:replications /a /n:domain2

dcdiag /s:dc1 /test:replications /a /n:domain3

REM check replications in site site2

REM continue Dcdiag statements for domains in site2

Dateireplikationsdienst (FRS)

  1. Wenn Sie den Verdacht haben, dass die Verzeichnisdienst-Replikation funktioniert, der FRS jedoch fehlschlägt, vergewissern Sie sich, dass der nach Service Pack 1 (SP1) bereitgestellte FRS-Hotfix auf allen Replikationspartnern installiert ist. Dieses Update ist in Service Pack 2 und Service Pack 3 für Windows 2000 enthalten.
  2. Führen Sie den Befehl Ntfrsutil ds aus, um Folgendes zu überprüfen:
    • Stellen Sie sicher, dass es nur ein Subscriber-Objekt mit dem Namen "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" gibt, und dass es eine "Member Ref" aufweist. Beispiel:
      • SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
      • Member Ref: CN=TEST1,CN=Domain System Volume (SYSVOL share),CN=File Replication Se...
    • Suchen Sie die Member-Objekt-Ausgabe ("dump") für diesen Domänencontroller, und stellen Sie sicher, dass sie ein Attribut Server Ref und ein Attribut Computer Ref aufweist. Vergewissern Sie sich außerdem, dass direkt unter diesem Member-Objekt mindestens eine Verbindung existiert. Dies ist die eingehende Verbindung zu diesem Domänencontroller. Beispiel: MEMBER: TEST1
      • Server Ref : CN=NTDS Settings,CN=TEST1,CN=Servers,CN=Default-First-Site-Name,CN=Sit...
      • Computer Ref : cn=test1,ou=domain controllers,dc=domain1,dc=site1,dc=forest1,dc=com...
      • DN : cn=d7874204-c331-4750-82ec-30b96a8ec732,cn=ntds settings,cn=test1,cn=s...
    • Stellen Sie sicher, dass mindestens ein weiteres Member-Objekt diesen Domänencontroller als eingehenden Partner hatte. Verwenden Sie das Attribut Partner Dn, um anzugeben, von welchem Partner diese Verbindung ausgeht.
      • Partner Dn : cn=ntds settings,cn=test1,cn=servers,cn=default-first-site-name,cn=sit...
  3. Führen Sie den Befehl Ntfrsutil aus, um Folgendes zu überprüfen:
    • Stellen Sie sicher, dass der Replikatsatz DOMAIN SYSTEM VOLUME (SYSVOL SHARE) als ServiceState den Wert ACTIVE aufweist. Beispiel:
      ServiceState : 3 (ACTIVE)
    • Stellen Sie sicher, dass es zu diesem Domänencontroller mindestens eine eingehende und eine ausgehende Verbindung gibt. Beispiel:
      Inbound : FALSE
      Inbound : TRUE
  4. Erhöhen Sie die FRS-Protokollierungsstufen. Fügen Sie hierzu die folgenden Registrierungswerte zu dem Registrierungs-Teilschlüssel
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
    hinzu:
    Name: Debug Log Severity
    Typ: REG_DWORD
    Wert: 0x00000004
    Name: Debug Maximum Log Messages
    Typ: REG_DWORD
    Wert: 50000
    Name: Debug Log Files
    Typ: REG_DWORD
    Wert: 0x00000032
  5. Sie können den Status des FRS auf einem Domänencontroller in einer Datei abbilden ("dump"), um die Problembehandlung zu erleichtern. Sie können hierfür das folgende Beispielskript verwenden: Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionalität sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Spezialisten von Microsoft Product Support Services können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind. Wenn Sie über begrenzte Programmiererfahrungen verfügen, wenden Sie sich an einen von Microsoft zertifizierten Partner. Weitere Informationen über von Microsoft zertifizierte Partner finden Sie auf der folgenden Seite im World Wide Web:
    http://www.microsoft.com/partner/referral
    Weitere Informationen zur Kontaktaufnahme mit Microsoft und den verfügbaren Supportoptionen finden Sie auf folgender Website von Microsoft:
    http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS
    @echo off
    
    REM FRS_CHECK.CMD - Records the state of FRS
    
    SETLOCAL ENABLEEXTENSIONS
    
    SET FRSCK=C:\FRS_CHECK
    
    if NOT EXIST %FRSCK% (md %FRSCK%)
    
    REM  run dcdiag
    
    dcdiag  >  %FRSCK%\dcdiag.txt
    
    REM For FRS 
    
    ntfrsutl  ds  > %FRSCK%\ntfrs_ds.txt
    ntfrsutl  sets  > %FRSCK%\ntfrs_sets.txt
    ntfrsutl  inlog  > %FRSCK%\ntfrs_inlog.txt
    ntfrsutl  outlog  > %FRSCK%\ntfrs_outlog.txt
    ntfrsutl  version  > %FRSCK%\ntfrs_version.txt
    regdmp HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters > %FRSCK%\ntfrs_reg.txt
    dir \\.\sysvol /s > %FRSCK%\ntfrs_sysvol.txt
    
    REM scan the frs debug logs for errors.
    
    findstr /i ":SO: error invalid fail abort warn" %windir%\debug\ntfrs_*.log   |  findstr /v "IO_PEND ERROR_SUCCESS FrsErrorSuccess" > %FRSCK%\ntfrs_errscan.txt
    
    REM For DS replication
    
    repadmin /showreps  >  %FRSCK%\ds_showreps.txt
    repadmin /showconn  >  %FRSCK%\ds_showconn.txt

Informationsquellen

Informationen zum Beziehen des Programms "Kerbtray.exe" finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en

Eigenschaften

Artikel-ID: 249256 - Geändert am: Montag, 31. Juli 2006 - Version: 4.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
Keywords: 
kbhowtomaster KB249256
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com